FFeel.Trading
要聞列表Mach-O Man 惡意軟體在 Lazarus Group 的加密貨幣攻擊行動中竊取 macOS Keychain 資料
Bitcoin.com2026-04-22 13:20:43

Mach-O Man 惡意軟體在 Lazarus Group 的加密貨幣攻擊行動中竊取 macOS Keychain 資料

ORIGINALMach-O Man Malware Steals macOS Keychain Data in Lazarus Group Crypto Campaign
AI 影響分析Grok 分析中...
📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯5130 字
北韓的 Lazarus Group 部署了一套名為 Mach-O Man 的模組化 macOS 惡意軟體套件,該套件利用偽造的會議邀請,竊取金融科技高管與開發人員的憑證及加密貨幣錢包存取權。 Mach-O Man 惡意軟體在 Lazarus Group 的加密貨幣行動中竊取 macOS Keychain 資料 重點摘要: - 北韓的 Lazarus Group 於 2026 年 4 月部署了針對 macOS 加密貨幣與金融科技領域使用者的 Mach-O Man 惡意軟體。 - Bitso 的 Quetzal Team 確認該 Go 編譯套件可透過四個階段進行憑證竊取、Keychain 存取及資料外洩。 - 安全研究人員於 2026 年 4 月 22 日呼籲企業封鎖基於 Terminal 的 ClickFix 誘餌,並審查偽裝成 Onedrive 的 LaunchAgents 檔案。 研究人員揭露針對美國加密貨幣與 Web3 企業的北韓 macOS 惡意軟體 Bitso 的 Quetzal Team 安全研究人員與 ANY.RUN 沙盒平台合作,在分析了他們命名為「North Korea’s Safari」的行動後,於 2026 年 4 月 21 日公開了該套件。該團隊將此套件與 Lazarus 近期的大規模加密貨幣竊案連結,包括針對 KelpDAO 與 Drift 的攻擊,並指出該組織持續鎖定 Web3 與金融科技領域的高價值 macOS 使用者。 Mach-O Man 以 Go 語言編寫並編譯為 Mach-O 二進位檔案,使其能原生運行於 Intel 與 Apple Silicon 機型。該套件分為四個不同階段運行,旨在收集瀏覽器憑證、macOS Keychain 項目及加密貨幣帳戶存取權,隨後刪除自身痕跡。 感染始於社交工程,而非軟體漏洞。攻擊者入侵或冒充 Web3 與加密貨幣圈內同事的 Telegram 帳號。目標對象會收到一則緊急的 Zoom、Microsoft Teams 或 Google Meet 會議邀請,連結至極具說服力的偽造網站,例如 update-teams.live 或 livemicrosft.com。 偽造網站會顯示模擬的連線錯誤,並指示使用者複製並貼上 Terminal 指令以解決問題。這種稱為 Clickfix 的技術在此被改編用於 macOS,引導使用者透過 curl 執行初始階段檔案 teamsSDK.bin。由於使用者是手動執行指令,macOS Gatekeeper 不會進行攔截。 該階段檔案會下載一個偽造的應用程式套件,應用臨時程式碼簽章使其看起來合法,並提示使用者輸入 macOS 密碼。視窗會在前兩次嘗試時晃動,並在第三次接受憑證,這是為了建立虛假信任而刻意設計的。 隨後,根據研究人員的報告與其他說法,一個分析二進位檔案會列舉機器的 hostname、UUID、CPU、作業系統詳細資訊、執行中的處理程序,以及 Brave、Chrome、Firefox、Safari、Opera 與 Vivaldi 的瀏覽器擴充功能。研究人員指出,該分析程式包含一個會產生無限迴圈的程式錯誤,導致明顯的 CPU 飆升,這可能會暴露活躍的感染。 接著,一個持久化模組會將一個重新命名為 Onedrive 的檔案放入名為「Antivirus Service」資料夾下的隱藏路徑中,並註冊一個名為 com.onedrive.launcher.plist 的 Launchagent,以便在登入時自動執行。 最後階段是一個標記為 macrasv2 的竊取二進位檔案,它會收集瀏覽器擴充功能資料、SQLite 憑證資料庫與 Keychain 項目,將其壓縮成 zip 檔案,並透過 Telegram Bot API 外洩該封裝檔。研究人員在二進位檔案中發現了暴露的 Telegram bot token,他們稱這是一次重大的營運安全失誤,可能使防禦者能夠監控或中斷該頻道。 Quetzal Team 公布了所有主要元件的 SHA-256 雜湊值,以及指向 IP 位址 172.86.113.102 與 144.172.114.220 的網路指標。安全研究人員指出,已觀察到 Lazarus 以外的組織也在使用該套件,這顯示該工具已在威脅行為者生態系統中被共享或販售。 Lazarus(也被威脅情報公司追蹤為 Famous Chollima)在過去幾年中被認為與
資料狀態✓ 已擷取全文閱讀原文(Bitcoin.com)
🔍歷史類似事件· 關鍵字 + 標的比對6 則
2026-04-22
與 Lazarus 相關的 macOS 惡意軟體鎖定 crypto 和 fintech 公司
相似度 230%關鍵字 macos/malware/crypto
2026-04-22
Lazarus Group 透過新的 Mach-O Man 攻擊變得格外危險:CertiK
相似度 230%關鍵字 group/mach/man
2026-04-22
Apple Mac 用戶小心!北韓駭客 Lazarus 祭出全新惡意軟體「Mach-O Man」:一個動作接管你的電腦
相似度 180%關鍵字 mach/man/lazarus
2026-04-21
Lazarus Group 疑似在 Arbitrum 凍結 KelpDAO 漏洞攻擊中的 71M 美元 ETH 後,轉移了 175M 美元的 ETH
相似度 130%關鍵字 group/lazarus
2026-04-21
數據顯示,KelpDAO 駭客正在清洗數百萬美元的被盜加密貨幣。
相似度 130%關鍵字 data/crypto
2026-04-20
波蘭最大的加密貨幣交易所倒閉,且無人能找到持有私鑰的人
相似度 130%關鍵字 crypto/man
💡 目前用關鍵字 + 標的比對(MVP)· 之後會升級為 embedding 語意搜尋
原始資訊
ID:9a8da10988
來源:Bitcoin.com
發佈:2026-04-22 13:20:43
分類:一般 · 導出分類 neutral
標的:未指定
社群投票:+0 /0 · ⭐ 0 重要 · 💬 0 留言